广东××科技有限公司管理评审报告编 制 人:XXX批 准 人:XXX20XX 年 7 月 5 日7为验证公司体系文件的适宜性、充分性和有效性,评价和寻求信息安全和服务管理体系改进的机会和变更的需要(包括管理方针和管理目标),根据《管理手册》和20XX 年管理评审计划的要求,公司在 20XX 年 7 月 5 日下午 13 点-15 点在公司会议室召开 20XX 年管理评审会议。本次会议由管理者代表主持,公司管理委员会成员、管理者代表、各部门代表、内审员参加。本次管理评审的内容包括:信息安全体系1.以往内部审核的结果;2.相关方的反馈;3.现行信息安全管理体系的整体有效性、适应性和充分性。4.用于改进信息安全管理体系业绩和有效性的技术、产品或程序;5.预防和纠正措施的状况;6.风险评估没有充分强调的脆弱性或威胁;7.有效性测量的结果;8.任何可能影响信息安全管理体系的变更;9.改进的建议。服务管理体系:1.年度公司服务体系运行情况;2.客户满意度调查/投诉/服务质量分析报告;3.人力资源提供情况分析;4.预结算执行情况分析;5.采购及供应商管理情况分析;6.服务管理体系的方针和目标的适宜性和符合性分析;7.服务管理体系的持续改进需求。管理评审会议上,管理者代表以及各部门负责人将信息安全和服务管理体系的建立以及实施情况进行总结,并对下阶段工作提出要求。管理评审内容具体如下:一、信息安全和服务管理体系审核和评审以及外审的结果7管理者代表在会上对管理体系的建立和运行情况进行了分析:(一)体系建设和运行情况1.我公司自成立管理体系贯标领导机构以来,人员组成和职责得以实现。2.贯标期间,配合咨询公司对我公司进行书面调查,现场了解现有信息资产状况及风险管理要求,现有的信息安全和服务管理文件及执行情况,收集相关的信息,明确信息安全和服务管理体系目前存在的问题和需要改进的方向。3.公司在贯标期间,在参加外部培训的同时,针对体系运行的不同阶段,制定有本公司内部培训计划,组成本公司管理体系的内部专家和内部审核员队伍,并按计划进行了内审。4.根据公司体系文件要求,制定了《信息安全风险评估计划》,成立了公司内部风险评估小组,对公司现行的业务进行系统分析,并独立完成信息安全风险评估报告。5.针对高风险制定的控制措施进行了验证。6.完成了体系文件的编写审核和发布,形成完善的信息安全和服务管理体系。7.贯标内审与管理评审均能正常开展,体系执行的符合性得以验证,并对文件的有效性...
